Procédé et dispositif de détection d'intrusion réseau par anomalie dans des communications réseau

Procédé et dispositif de détection d'intrusion réseau par anomalie dans des communications réseau

L'invention concerne un dispositif et un procédé de détection d'intrusion réseau par anomalie basé sur un modèle de trafic normal appris dans une phase d'apprentissage en mode non-supervisé. Le procédé mis en œuvre par un processeur d'un système de détection d'intrusion rése...

Ausführliche Beschreibung

Gespeichert in:
Bibliographische Detailangaben
Hauptverfasser: JANNETEAU, Christophe, OLIVEREAU, Alexis, TRAN, Duc-Minh
Format: Patent
Sprache:fre
Schlagworte:
CALCULATING
COMPUTER SYSTEMS BASED ON SPECIFIC COMPUTATIONAL MODELS
COMPUTING
COUNTING
ELECTRIC COMMUNICATION TECHNIQUE
ELECTRICITY
PHYSICS
TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHICCOMMUNICATION
Online-Zugang:Volltext bestellen
Tags: Tag hinzufügen
Keine Tags, Fügen Sie den ersten Tag hinzu!
Beschreibung
Zusammenfassung:L'invention concerne un dispositif et un procédé de détection d'intrusion réseau par anomalie basé sur un modèle de trafic normal appris dans une phase d'apprentissage en mode non-supervisé. Le procédé mis en œuvre par un processeur d'un système de détection d'intrusion réseau par anomalie, comprend pendant une phase d'inférence au moins des étapes consistant à déterminer des échantillons de données contenant des données anormales et des échantillons de données contenant des données normales. Le procédé comprend de plus des étapes consistant à : recevoir (302) une notification selon laquelle un échantillon de données En désigné comme contenant des données normales est un faux négatif, et aurait dû être désigné comme contenant des données anormales ; construire (306) un échantillon factice Fn tel que l'échantillon factice Fn est l'opposé dudit échantillon de données En ; et mettre à jour (310) ledit modèle de trafic normal en exécutant (308) au moins une fois une routine d'algorithme d'apprentissage sur faux négatif avec ledit échantillon factice Fn. Figure pour l'abrégé : Fig. 3 The invention relates to an anomaly-based network intrusion detection system and a method based on a normal traffic model learned in an unsupervised-mode learning phase. The method implemented by a processor of an anomaly-based network intrusion detection system comprises, in an inference phase, at least steps of determining samples of data containing abnormal data and samples of data containing normal data. The method further comprises steps of: receiving (302) a notification that a data sample En designated as containing normal data is a false negative and should have been designated as containing abnormal data; constructing (306) a dummy sample Fn such that the dummy sample Fn is the opposite of the data sample En; and updating (310) the normal traffic model by executing (308), at least once, a false negative-based learning algorithm routine using the dummy sample Fn.